Fem hundrede og halvfjerds rettelser på en enkelt tirsdag

Microsoft Security Response Center offentliggjorde sin juli-opdatering tirsdag den 14. juli, og listen sluttede ikke, hvor nogen havde regnet med. Microsoft lukkede 570 sårbarheder i én udsendelse. Den hidtidige rekord fra juni, seks uger tidligere, lød på 206. Nioghalvtreds af juli-hullerne er vurderet som kritiske, og 48 af dem tillader fjernudførelse af kode. Den fulde fordeling lyder på 254 huller til rettighedsforøgelse, 145 til fjernudførelse af kode, 102 til udslip af oplysninger, 35 til overbelastning, 17 omgåelser af sikkerhedsfunktioner og 16 spoofinghuller. Tallet omfatter ikke de Chromium-huller, som Edge arver.

Hvorfor det tæller. Et månedligt vindue til rettelser er en fast mængde arbejdstimer. Antallet af poster, der skal presses igennem det, er næsten tredoblet, og leverandøren har skrevet sort på hvidt, at det ikke er et enkeltstående udsving. Enhver proces, der forudsætter, at en administrator kan læse listen, veje hver post og træffe en beslutning, brød sammen tirsdag.

To bruges allerede mod ADFS og SharePoint

Tre af de 570 er nuldagssårbarheder, og to af dem er under aktivt angreb. CVE-2026-56155 er et hul til rettighedsforøgelse i Active Directory Federation Services, hvor en adgangskontrol, der ikke er fintmasket nok, lader en autoriseret angriber hæve sine rettigheder lokalt. CVE-2026-56164 er et hul til rettighedsforøgelse i SharePoint Server, hvor en manglende godkendelseskontrol på en kritisk funktion lader en ikke-godkendt angriber hæve rettigheder hen over netværket. Det tredje, CVE-2026-50661, er en offentliggjort omgåelse af BitLockers sikkerhedsfunktion.

Ingen af de to udnyttede huller er eksotiske, og det er netop pointen. Active Directory Federation Services er den maskine, der udsteder jeres føderationstokens. I SharePoint ligger jeres kontrakter, jeres bestyrelsesmateriale og jeres kundelister. Den, der hæver sine rettigheder på et af dem, behøver ikke en ekstra udnyttelse for at nå resten. Kører I selv et af dem, er det de eneste to poster på juli-listen, der kræver en beslutning i dag. Center for Cybersikkerhed udsender som regel sin egen varsling, når et hul af den type allerede udnyttes.

BitLocker-omgåelsen angriber et juridisk forsvar, ikke en bærbar

CVE-2026-50661 lader en angriber med fysisk adgang nå data på et krypteret drev. Læst som et teknisk problem er det en fejl i enheden, der kræver maskinen i hånden. Læst som et europæisk efterlevelsesproblem er det noget andet. Artikel 34 i databeskyttelsesforordningen siger, at en dataansvarlig ikke skal underrette de berørte, når de blottede data er gjort uforståelige for uvedkommende, og fuld diskkryptering er grunden til, at de fleste mistede eller stjålne bærbare aldrig bliver en hændelse med underretningspligt.

Konsekvensen. Den argumentation holder, så længe krypteringen holder. En offentliggjort omgåelse gør den anfægtelig, og argumentet bærer nu et CVE-nummer, som enhver tilsynsmyndighed kan slå op. Fristen på 72 timer i artikel 33 holder ikke pause, mens I finder jeres position. Den, der fremfører BitLocker som sit svar på en mistet enhed, bør have denne rettelse på maskinparken, før den næste bærbare forsvinder, og bør kunne dokumentere datoen.

Microsoft kalder oversvømmelsen det nye udgangspunkt

Springet skyldes ikke en dårlig måned med kode. Den 9. juli, fem dage før udsendelsen, offentliggjorde Microsoft et indlæg på Windows Experience Blog om, at virksomheden har kørt et AI-system ved navn MDASH, dens scanningsopstilling med flere modeller, hen over hele Windows-kodebasen. MDASH scanner kritiske binære filer og validerer sine fund med flere modeller. Det første offentlige udbytte i maj var 16 hidtil ukendte CVE'er, heraf fire kritiske huller til fjernudførelse af kode i kernekomponenter som TCP/IP-kernestakken, IKEv2-tjenesten, Netlogon og DNS-API-biblioteket. Microsoft sagde ligeud til kunderne, at de skal forvente et højere antal sikkerhedsopdateringer i hver udsendelse.

Det gælder ikke kun én leverandør. Chrome 150 udkom med 433 sikkerhedsrettelser. Adobe er gået over til to udsendelser om måneden og Mozilla til en takt på to uger. Branchen har sat fundet af sine egne fejl på maskine og følger med, når de skal leveres til jer. Jeres evne til at optage dem har ikke rykket sig en tomme.

Skift målepunktet, før I skifter tidsplanen

Reflekset er at bede om flere timer til rettelser. Det er den forkerte håndtag, for mængden ind har ikke længere et loft. Det brugbare svar er at holde op med at behandle CVE-listen som en kø, der skal tømmes, og begynde at behandle den som et signal, der skal filtreres. To filtre klarer næsten hele arbejdet: bliver hullet udnyttet, og kan det ramte system nås udefra. Tre af de 570 huller kom gennem det første filter denne måned. Det er en liste, et menneske faktisk kan læse.

Konklusionen. Bestyrelsens målepunkt må flytte sig med. En dækningsprocent for rettelser måler efterhånden Microsofts scanner og ikke jeres forsvar, og den vil se værre ud hver måned og betyde mindre. Rapportér i stedet, hvor lang tid I brugte på at rette de udnyttede huller og dem, der kan nås fra internettet. Det tal er jeres, det er lille nok til at forsvare, og det er det eneste, en angriber går op i.